Dr. iur. Matthias Lachenmann
Rz. 20
Die Ausgestaltung des Beschäftigtendatenschutzes kann durch die Mitgliedsstaaten durch "spezifischere Vorschriften" (im Sinne von "sektorspezifisch") gesondert geregelt werden, Art. 88 Abs. 1 DSGVO. Das kann zum einen durch Rechtsvorschriften der nationalen Gesetzgeber geschehen, zum anderen kann in den Mitgliedsstaaten vorgesehen werden, dass die Betriebsparteien durch Kollektivvereinbarungen eigenständige Regelungen zum Beschäftigtendatenschutz treffen können.
1. Verhältnis von DSGVO und BDSG
Rz. 21
§ 26 BDSG füllt die Abwägung der Interessen der Rechte der Beschäftigten und Verantwortlichen aus und stellt die maßgebliche Norm zum Beschäftigtendatenschutz im deutschen Recht dar. Die Norm gibt die Grundsätze wieder, die die arbeitsgerichtliche Rechtsprechung in den letzten Jahren entwickelt hatte, zuvor kodifiziert in § 32 BDSG a.F. Das Erforderlichkeitsmerkmal des § 26 Abs. 1 S. 1 BDSG ist auf den Maßstabsrahmen zu beziehen, der der DSGVO zugrunde liegt. Denn die Mitgliedsstaaten können keine eigenständigen nationalen Erlaubnistatbestände neben denen der DSGVO schaffen.
Rz. 22
Diverse Einschränkungen der Betroffenenrechte, die sich aus der durch den BAG entwickelten Rechtsprechung ergeben, bspw. zur heimlichen Mitarbeiterüberwachung in strengen Einzelfällen, können als europarechtlich zulässig eingestuft werden, da die strengen Vorgaben des BAG die abstrakten Vorgaben der Interessenabwägung nach Art. 6 Abs. 1 S. 1 Buchst. f, Art. 88 DSGVO einhalten. So geht das BAG undifferenziert davon aus, dass § 26 BDSG weiterhin neben der DSGVO Anwendung finde, da sich die Norm im Rahmen des Art. 88 DSGVO bewege und § 26 Abs. 1 S. 1 BDSG – (nur) unter Hinzuziehung von § 26 Abs. 5 BDSG – europarechtlich zulässig sei. Demgegenüber legte das BAG die Reichweite des Kündigungsschutzes des Datenschutzbeauftragten, also vom Verhältnis zwischen Art. 37 f. DSGVO zu §§ 6, 38 BDSG, dem EuGH vor. Selbst wenn davon ausgegangen werden kann, dass die bisherige Rechtsprechung des BAG zu § 32 Abs. 1 S. 1 BDSG a.F. grundsätzlich direkt übernommen werden kann, sollte jeweils im Einzelfall geprüft werden, ob die Abwägungsmaßstäbe der DSGVO eingehalten wurden. Dies wird vielfach der Fall sein, da ausgewogene und beschäftigtenfreundliche Vorgaben gemacht worden waren, die zudem meist auf die Vorgaben der DSRL rekurrierten und so europäisches Recht bereits berücksichtigten.
Rz. 23
Zusätzlich zu den spezifischen Vorschriften zum Beschäftigtendatenschutz gelten die allgemeinen Datenschutzvorgaben der DSGVO. Arbeitgeber können sich daher nicht darauf beschränken, ihr bisheriges Verhalten unverändert fortzuführen. Sie müssen auch die ergänzenden Vorgaben der DSGVO berücksichtigen. So gelten bspw. die Transparenzverpflichtungen und Betroffenenrechte der Art. 12 ff. DSGVO auch im Beschäftigungsverhältnis. Auch bei Verarbeitung von Beschäftigtendaten müssen Datenschutz-Folgenabschätzungen nach Art. 35 f. DSGVO durchgeführt werden und muss die Berücksichtigung in den Verzeichnissen von Verarbeitungstätigkeiten (Art. 30 DSGVO) erfolgen, ebenso ist die Absicherung der Transfers von Beschäftigtendaten in Drittstaaten erforderlich. Das Recht des Beschäftigtendatenschutzes setzt sich damit einerseits durch die BAG-Vorgaben zur Zulässigkeit von Verarbeitungsvorgängen von Beschäftigtendaten, andererseits durch die allgemeinen Vorschriften der DSGVO mit einer Vielzahl formaler Pflichten zusammen. In dieser Gemengelage ist nachfolgend die Systematisierung der wichtigsten Grundlagen der Verarbeitung von Beschäftigtendaten vorzunehmen.
2. Verarbeitung von Beschäftigtendaten nach Interessenabwägung
Rz. 24
Die Bewertung der Zulässigkeit der Datenverarbeitung war bislang und ist seit 25.5.2018 auf Basis einer Interessenabwägung, die die Interessen von Arbeitgeber und Beschäftigten in Einklang bringen muss, zu treffen (§ 32 Abs. 1 BDSG a.F. und § 26 Abs. 1 BDSG). Die Bewertung ist daher oft vom jeweiligen Einzelfall abhängig.
Rz. 25
Für die Verarbeitung der Beschäftigtendaten bleibt es dabei, dass eine vollständige Überprüfung der Arbeitstätigkeiten der Beschäftigten durch den Arbeitgeber unzulässig ist. Im Rahmen der Datenverarbeitungsprozesse bei der Leistungserbringung ist der sog. Need-to-know-Gru...